CTT Report Hub
3.41K subscribers
9.65K photos
6 videos
67 files
13.3K links
Threat Intelligence Report Hub
Download Telegram
#technique

EasyTokens
A device-code phishing server for adversary emulation. Captures Microsoft 365 OAuth tokens via the Device Authorization Grant flow. Inspired by GraphSpy.

https://github.com/secdev02/EasyTokens
#technique

Terraforming Mythic
This project allows operators to set up multiple Mythic C2 servers in Azure. Optionally, Azure CDN redirectors can be created as well. The idea is that you are able to create multiple "projects" that you can manage from this Terraform code. This way, operators can manage the resources for their infrastructure in a central place, as code.

https://github.com/qmadev/tf-mythic-azure
#technique

Hollow
hollow is a shellcode loader generator. You give it a raw shellcode binary and a profile, and it spits out a compiled Windows PE loader with your shellcode encrypted inside.

https://github.com/Chaelsoo/Hollow
#ParsedReport #CompletenessMedium
08-07-2026

Anatomy of an Attack. VIPERTUNNEL

https://www.extrahop.com/blog/vipertunnel

Report completeness: Medium

Actors/Campaigns:
Silverfish
Evil_corp
Dragonforce

Threats:
Vipertunel
Dragonforce_ransomware
Lolbin_technique
Lolbas_technique
Socgholish_loader
Pyramid_c2_tool

Geo:
Russian

TTPs:
Tactics: 2
Technics: 18

IOCs:
File: 3

Soft:
Windows scheduled task, Windows Security

Algorithms:
chacha20, xor, aes

Languages:
python
CTT Report Hub
#ParsedReport #CompletenessMedium 08-07-2026 Anatomy of an Attack. VIPERTUNNEL https://www.extrahop.com/blog/vipertunnel Report completeness: Medium Actors/Campaigns: Silverfish Evil_corp Dragonforce Threats: Vipertunel Dragonforce_ransomware Lolbin_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VIPERTUNNEL — это бэкдор на базе Python, связанный с российской группой UNC2165, впервые выявленный в 2024 году и эволюционировавший к 2026 году. Он действует скрытно после компрометации, используя техники социальной инженерии и применяя легитимные бинарные файлы Python для закрепления, чтобы замаскировать вредоносную активность, включая выполнение скриптов в тихом режиме. ВПО кодирует свой полезный груз в виде DLL-файла, эксплуатирует выполнение в памяти для уклонения от обнаружения и устанавливает SOCKS5-прокси для коммуникаций, усложняя усилия по мониторингу.
-----

VIPERTUNNEL — это бэкдор на базе Python, связанный с российской группой UNC2165 (EvilCorp).

Впервые обнаружен в 2024 году, к 2026 году он эволюционировал в функциональности.

Развертывается после компрометации, преимущественно с использованием техник социальной инженерии.

VIPERTUNNEL полагается на легитимные бинарные файлы Python для поддержания постоянного доступа.

ВПО создает запланированную задачу Windows, которая маскирует его выполнение.

Вредоносные скрипты размещаются в пути библиотеки Python для выполнения в скрытом режиме.

ВПО кодирует полезную нагрузку в виде DLL-файлов для обхода обнаружения.

Этот DLL-файл представляет собой сильно запутанный скрипт на Python, выполняемый непосредственно из памяти.

VIPERTUNNEL устанавливает SOCKS5-прокси для связи со своим C2-сервером.

Трафик через прокси не демонстрирует типичных характеристик HTTPS на порту 443.

Индикаторы компрометации включают необычное выполнение Python и неожиданные запланированные задачи.

Соединения исходящего трафика с использованием протокола SOCKS через порт 443 имеют решающее значение для обнаружения.

Для защиты рекомендуется осуществлять мониторинг запланированных задач и изменений в Python-скриптах.

Сотрудничество между SOC и NOC имеет решающее значение для эффективного обнаружения и управления туннелированием.

VIPERTUNNEL использует различные техники «жизни за счёт земли» для маскировки своей деятельности.
#ParsedReport #CompletenessMedium
08-07-2026

Citizen, Update Yourself : An Analysis of the Falcon Malware Campaign

https://habr.com/ru/companies/pt/articles/1036620/

Report completeness: Medium

Threats:
Falcon_malware
Mamont_spy

Victims:
Banking, Russian users

Industry:
Financial

Geo:
Russian, Ukrainian, Russia

ChatGPT TTPs:
do not use without manual check
T1036, T1056, T1102, T1113, T1412, T1564, T1620

IOCs:
File: 6
Hash: 75
Domain: 2
Url: 7

Soft:
Android, Dropbox

Algorithms:
rc4

Languages:
php, java, javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 08-07-2026 Citizen, Update Yourself : An Analysis of the Falcon Malware Campaign https://habr.com/ru/companies/pt/articles/1036620/ Report completeness: Medium Threats: Falcon_malware Mamont_spy Victims: Banking, Russian…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания вредоносного ПО Falcon emerged as a sophisticated threat utilizing a malicious APK that masquerades as a legitimate application, primarily targeting Russian-speaking victims. The malware employs various techniques, including prompting users to download updates that obscure its malicious activities, granting extensive permissions to access sensitive device information, and employing advanced functionalities like SMS interception and screen recording. Ongoing updates to the malware indicate its authors are actively refining both its capabilities and distribution methods, with new variants appearing that enhance phishing efforts.
-----

Кампания Falcon — это новая угроза, использующая вредоносный APK-файл, замаскированный под легитимное российское приложение, который изначально был ошибочно идентифицирован как вариант банковского трояна. Кампания применяет тактику, побуждающую пользователей обновить приложение, что служит прикрытием для фактических вредоносных действий ВПО. Этот метод не только скрывает ВПО от обнаружения антивирусами, но и позволяет ему функционировать совместно с легитимными приложениями, часто заставляя пользователей игнорировать наличие вредоносного компонента на своих устройствах.

При обратном инжиниринге APK-файла исследователи заметили значительное количество жестко закодированного русского языка в коде и журналах, что указывает на усилия по локализации для русскоязычных жертв. Вредоносная нагрузка содержит знакомые техники Android ВПО, дополненные хорошо структурированным кодом и описательными переменными, что улучшает читаемость для специалистов по обратному инжинирингу. Архитектура нагрузки делает акцент на обновлениях и загрузках с таких платформ, как Trello, которые используются для размещения HTML-файлов, предлагающих обновленные поддельные приложения. Эти страницы созданы для того, чтобы обмануть пользователей и заставить их предоставить обширные разрешения, среди которых критически важно «Специальные возможности», обеспечивающие полный доступ к устройствам, что позволяет злоумышленникам читать SMS, отслеживать звонки и препятствовать удалению приложения.

Анализ показывает, что вредоносное ПО Falcon со временем эволюционировало, внедрив расширенные функции, такие как запись экрана, перехват SMS и постоянное опрашивание сервера для эксфильтрации данных. ВПО может поддерживать закрепление, перезапускаясь при завершении процесса, а также создавать скрытые уведомления, чтобы скрыть свою деятельность от пользователей. Кроме того, оно способно собирать пользовательские данные через интерфейсы JavaScript и полностью блокировать доступ пользователей к их устройствам путем манипуляции с экраном блокировки.

Отслеживание активности авторов ВПО выявляет последовательный цикл обновлений, что указывает на постоянную разработку и совершенствование как самого ВПО, так и методов его распространения. Статистика VirusTotal показывает, что новые варианты продолжают загружаться, при этом последние версии дополнительно усиливают фишинговые атаки и используют имена, знакомые пользователям популярных банков, чтобы скрыть свои истинные намерения.
#ParsedReport #CompletenessHigh
08-07-2026

The Gentlemen Ransomware With Custom EDR/AV Killers Scaling Faster to Attack Industries Worldwide

https://cybersecuritynews.com/gentlemen-ransomware-global-attacks/

Report completeness: High

Actors/Campaigns:
Gentlemen_ransomware (motivation: financially_motivated)
Hastalamuerte
Zeta88
Protagor
Warlock
Dragonforce

Threats:
Gentlemen_ransomware
Av-killer
Qilin_ransomware
Gentlekiller
Edr-killer
Hexkiller
Throttleblood
Havockiller
Credential_harvesting_technique
Oxideharvest
Mamba
Glocker_tool
Netexec_tool
Winrm_tool
Certihound_tool
Nmap_tool
Credential_dumping_technique
Ksldump_tool
Kslkatz_tool
Byovd_technique
Burntcigar
Zemana_tool
Iobit_tool
Poisonx
Medusalocker
Edrstartuphinder_tool
Gfreeze_tool
Glinker_tool
Dumpbrowsersecrets_tool
Zerosalarium_tool
Titanis_tool
Themida_tool
Anydesk_tool
Systembc
Zeropulse_tool
Putty_tool
Vssadmin_tool
Shadow_copies_delete_technique
Manspider_tool
Garble_tool
Wevtutil_tool
Relayking_tool
Mimikatz_tool
Privhound_tool
Regpwn_tool
Cobalt_strike_tool
Ransom.win64.gentleman
Ransom.win64.gentleman.thhaibe
Blackbyte
Trojan:win32/mptamperbulkexcl.h
Bloodhound_tool

Victims:
Manufacturing, Healthcare, Financial services, Critical operational technology, Southeast asia, South america, Western europe, Australia

Industry:
Ics, Education, Healthcare, Foodtech, Transport, Critical_infrastructure, E-commerce

Geo:
France, Russian, United states, Asia, America, Thailand, Turkish, Germany, Australia

CVEs:
CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)

CVE-2025-32433 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- erlang erlang\/otp (<25.3.2.20, <26.2.5.11, <27.3.3)

CVE-2024-37085 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<5.2)
- vmware esxi (7.0, 8.0)

CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam_backup_\&_replication (<11.0.1.1261, 12.0.0.1420)

CVE-2025-7771 [Vulners]
CVSS V3.1: 8.7,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.21034)
- microsoft windows_10_1607 (<10.0.14393.8148)
- microsoft windows_10_1809 (<10.0.17763.7434)
- microsoft windows_10_21h2 (<10.0.19044.5965)
- microsoft windows_10_22h2 (<10.0.19045.5965)
have more...

TTPs:
Tactics: 11
Technics: 36

IOCs:
File: 9
Command: 1
Hash: 35
IP: 3
Path: 3

Soft:
DeepSeek, Qwen, FortiGate, Active Directory, Windows service, Valorant, ThrottleStop, Event Tracing for Windows, PsExec, Sysinternals, have more...

Crypto:
bitcoin

Algorithms:
curve25519, xchacha20, sha1, ecdh

Functions:
TaskHound, Set-MpPreference

Win API:
DeviceIoControl

Languages:
golang, rust, powershell

YARA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 08-07-2026 The Gentlemen Ransomware With Custom EDR/AV Killers Scaling Faster to Attack Industries Worldwide https://cybersecuritynews.com/gentlemen-ransomware-global-attacks/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Рансомварь Gentlemen, также известный как Storm-2697, появился в середине 2025 года и поразил более 500 организаций по всему миру, сосредоточившись на секторах производства, здравоохранения и финансов. Используя проприетарный набор инструментов под названием GentleKiller, он эффективно отключает меры безопасности, одновременно эксплуатируя уязвимости в устройствах FortiGate VPN для первоначального доступа. Рансомварь распространяется по сетям с использованием таких техник, как Remote File Copy и PsExec, выгружает данные перед шифрованием и внедряет методы закрепления, включая запланированные задачи и удаление журналов.
-----

Группа вымогателей Gentlemen, идентифицированная как Storm-2697, появилась в середине 2025 года и стала заметной угрозой к апрелю 2026 года, атаковав более 500 организаций по всему миру. Ее проприетарный набор инструментов GentleKiller предназначен для отключения более 400 процессов безопасности различных вендоров, что повышает эффективность уклонения от обнаружения. Группа вымогателей действует под псевдонимом hastalamuerte и избегает нацеливания на страны СНГ, сосредотачиваясь на секторах производства, здравоохранения и финансов. Первоначальный доступ осуществляется путем эксплуатации уязвимостей в устройствах VPN FortiGate и использования инструментов для сбора учетных записей. Группа повышает привилегии до учетных данных администратора домена и использует свой набор GentleKiller для уклонения от обнаружения. Распространение вымогателя достигается за счет самораспространяющегося поведения, похожего на червя, с использованием Remote File Copy и PsExec. Эксфильтрация данных происходит до шифрования с использованием шифровальщика на базе Go, воздействующего на различные файловые системы. После шифрования создаются задачи для закрепления, размещаются вымогательские записки, а журналы и теневые копии удаляются для сокрытия следов. Группа отдает приоритет целям в Юго-Восточной Азии, Южной Америке и Западной Европе, демонстрируя низкий интерес к целям в США. Организациям рекомендуется устранять уязвимости в FortiOS, внедрять многофакторную аутентификацию, усиливать сегментацию сети и защищать системы резервного копирования для снижения рисков.
#ParsedReport #CompletenessMedium
08-07-2026

GoodPersonRAT: Fake Chinese VPN drops extensive C2 client

https://www.threatlocker.com/blog/goodpersonrat-fake-chinese-vpn-drops-extensive-c2-client

Report completeness: Medium

Threats:
Goodpersonrat

Victims:
Letsvpn users, Telegram desktop users

Geo:
China, Chinese

TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 15
IP: 7
Domain: 33
Path: 5
Hash: 4

Soft:
LetsVPN, Kuailian VPN, Telegram, Huorong, Microsoft Defender

Algorithms:
xor, sha256

Functions:
Set-MpPreference

Win API:
VirtualAlloc, ReadFile, CreateThread, GetProcAddress, LoadLibraryA, VirtualFree, VirtualProtect, GetModuleHandleA, CoCreateGuid, GetTickCount, have more...

Languages:
powershell

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessMedium 08-07-2026 GoodPersonRAT: Fake Chinese VPN drops extensive C2 client https://www.threatlocker.com/blog/goodpersonrat-fake-chinese-vpn-drops-extensive-c2-client Report completeness: Medium Threats: Goodpersonrat Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GoodPersonRAT — это Троянская программа, замаскированная под установщик VPN Kuailian, позволяющая злоумышленникам получать полный контроль над зараженными машинами. Она выполняется через легитимный установщик, извлекая вредоносные компоненты для операций управления (C2) без записи на диск, что позволяет избегать обнаружения. Вредоносное ПО поддерживает широкий спектр функций, таких как передача файлов, регистрация нажатий клавиш и прямой доступ к приложениям, например Telegram Desktop, а также реализует методы обхода мер безопасности путем профилирования установленных приложений защиты.
-----

GoodPersonRAT, идентифицированный ThreatLocker Threat Intelligence, является вредоносной Троянской программой (RAT), внедренной в поддельный установщик для Kuailian VPN, также известного как LetsVPN. Эта RAT предназначена для предоставления злоумышленникам всестороннего контроля над зараженной машиной и пользовательскими данными. Процесс заражения начинается с выполнения легитимного установщика LetsVPNLatest.exe, который, по-видимому, устанавливает программное обеспечение VPN, но одновременно позволяет выполнять вредоносные payloads.

После установки второй компонент, promecefplugilte8.exe, действует как загрузчик shellcode, который извлекает третий файл, 20260609.dat. Этот полезный груз отвечает за основную деятельность по управлению (C2). Shellcode расшифровывает встроенный бинарный файл, который устанавливает удаленный доступ путем рефлексивной загрузки DLL в память, избегая обнаружения традиционными средствами защиты, поскольку он не записывается на диск.

Вредоносное ПО обладает сложным механизмом выбора C2-сервера. Оно предлагает 40 предопределённых адресов серверов, один из которых выбирается на основе наличия файла install_state.ini, содержащего InstanceId в виде открытого текста. Если этот файл существует, он имеет приоритет над методами резервного копирования, основанными на имени исполняемого файла.

Связь через C2 является постоянной и опирается на открытый TCP-сокет для ожидания команд. Вредоносное ПО отслеживает машину жертвы с помощью уникального идентификатора клиента, хранящегося в файле ClientID.sys, что обеспечивает непрерывную связь. Возможности GoodPersonRAT обширны; они включают передачу файлов, интерактивное выполнение команд, настройку прокси-серверов SOCKS5/HTTP, а также возможности регистрации нажатий клавиш и эксфильтрации данных из буфера обмена. Примечательно, что передача файлов позволяет злоумышленникам манипулировать системными файлами и обеспечивает эффективную эксфильтрацию данных.

Уникальные функциональные возможности нацелены на конкретные приложения, такие как Telegram Desktop, позволяя получать прямой доступ к учетным записям пользователей и данным сессий путем изменения настроек прокси и даже патчинга исполняемого файла приложения для сокрытия несанкционированных изменений. Регистрация нажатий клавиш осуществляется через выделенный процесс, который записывает нажатия клавиш и захватывает содержимое буфера обмена, сохраняя их в скрытом текстовом файле.

Для обхода обнаружения решениями для обнаружения и реагирования на конечных точках (EDR) GoodPersonRAT использует методичный подход профилирования, который информирует C2 об установленных на машине жертвы приложениях безопасности. Он изменяет настройки Microsoft Defender для создания исключений из сканирования и отключает определенные защитные функции, демонстрируя свою способность сохранять скрытность во время операций.

GoodPersonRAT представляет собой прямую угрозу для пользователей LetsVPN, используя свое легитимное представление для эффективного проникновения в системы и применяя сложные техники для уклонения, закрепления и эксплуатации ресурсов.
#ParsedReport #CompletenessHigh
07-07-2026

ClickFix to Cash-Out: Anatomy of a Mexican Banking-Fraud Toolkit

https://www.elastic.co/security-labs/mexican-banking-fraud-scmbanker-ref6045

Report completeness: High

Actors/Campaigns:
Ref6045

Threats:
Clickfix_technique
Scmbanker
Bitsadmin_tool
Socgholish_loader
Spear-phishing_technique

Victims:
Banking, Financial services, Fintech, Payment processing, Cryptocurrency exchanges, Investment platforms, Government tax services, Telecommunications, Customers of mexican banks

Industry:
Financial, Telco, Retail

Geo:
Spanish, Mexico, Mexican

TTPs:
Tactics: 11
Technics: 0

IOCs:
Url: 26
File: 15
Domain: 7
Command: 3
Path: 6
Registry: 4
IP: 3
Hash: 26

Soft:
Microsoft Edge, Unix, Telegram

Algorithms:
base64, zip, sha256

Functions:
Get-NetIPAddress

Win API:
rectangle, ClipCursor, GetAsyncKeyState, GetKeyboardLayout, ToUnicodeEx

Win Services:
BITS

Languages:
php, vbscript, powershell, autoit, javascript

Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/execution\_suspicious\_powershell\_execution\_via\_windows\_scripts.toml
https://gist.github.com/jiayuchann/cfbeb1b194b2e186fc599eb51d4719cc
have more...
https://gist.github.com/jiayuchann/5851f64467bac4c456dab67e2fb55622